Sur quels profils de responsables les entreprises peuvent-elles compter quand il est question de sécurité numérique ? Michel Juvin, chief information security officer et membre du Club des experts de la sécurité de l’information et du numérique (Cesin), détaille l’émergence difficile de stratèges de la cybersécurité dans les organisations, dans un contexte de tensions toujours plus grandes.
| Cet article fait partie du dossier « Cybersécurité : 2018, année de changements ? »
Alliancy. Face à la multiplication des annonces de cyberattaques et de failles diverses, les entreprises ont-elles encore un espoir de pouvoir réagir sereinement ?
Michel Juvin. Nous sommes entrés, il est vrai, dans un monde de cyber guerre, avec une évolution de la nature des armes utilisées par les hommes. Depuis les armes que la nature nous a données, les bras, les jambes en passant par les armes de poings, puis la découverte de la poudre jusqu’à son point culminant qu’est sans doute la bombe atomique, nous sommes maintenant entrés dans une guerre électronique qui utilise aussi la communication pour amplifier les cyber-armes ; grâce à Internet d’ailleurs. On peut légitimement se poser la question : que peut faire une entreprise dans un cyber conflit qui peut avoir des motivations étatiques ? Mais cela ne doit pas empêcher cette dernière de mettre en place une analyse des risques et de se protéger au maximum par des mesures de sécurité.
Certaines stratégies font-elles plus leur preuve que d’autres ?
Michel Juvin. Dans un tel contexte de guerre, le célèbre stratège chinois Sun Tzu croyait en l’importance de complètement détruire son adversaire, après l’avoir repéré, identifié, piégé… Mais à cette vision, je préfère celle du général français André Beaufre, dont l’objectif était de favoriser la communication pour réduire le conflit au maximum. Je pense que c’est un parti-pris qui fait bien plus sens pour les entreprises, qui ont des ressources par nature limitées à consacrer au sujet. Dans le monde cyber, l’agresseur est anonyme. De fait, vous ne savez presque jamais le repérer. Et si vous pensez pouvoir le « détruire », le risque est qu’il revienne encore plus fort peu de temps après… sans même prendre en compte le risque de se créer de nouveaux ennemis en « ripostant » en aveugle, comme on l’entend avec la rhétorique du « hack back ». Une approche diplomatique est donc plus appropriée.
Au-delà de la guerre cyber entre des Etats, le parallèle avec la diplomatie est-il vraiment pertinent quand on descend au niveau d’une entreprise ?
Michel Juvin. D’une part, les frontières sont de plus en plus floues entre les différents cas de figures. D’autre part, ce qu’il faut bien comprendre, c’est que communiquer avec l’adversaire peut se faire de multiples façons. S’il pénètre dans vos systèmes d’information par un port du firewall par exemple, et que vous fermez cet accès… c’est un signal à destination de l’attaquant. Objectivement, vous avez déjà commencé à communiquer avec l’agresseur. Ne serait-ce que pour lui dire que ce sera moins facile que prévu. Or dans le cas de criminels, arrive un moment où si les efforts à fournir sont trop importants, la rentabilité n’est plus au rendez-vous. Pour y parvenir, il faut anticiper leurs parcours, et donc comprendre leurs objectifs, leurs motivations, voire même leur culture. Plus vous aurez des informations sur votre attaquant, plus vous aurez de chance de le bloquer voir de le désintéresser de sa cible – qui est l’objectif finale de l’attaque. Il ne faut pas oublier que si votre attaquant peut découvrir des failles de sécurité que vous ne connaissez pas, vous conservez l’avantage du terrain que vous connaissez bien après quelques années dans l’entreprise.
C’est d’ailleurs la contre-attaque la plus efficace pour sortir de ce conflit : balader l’attaquant en tentant de le leurrer. C’est de la responsabilité du CISO de définir quelle stratégie adopter en fonction de l’attaque ; bien évidemment en coopération avec le Management de l’entreprise. La communication est une arme qui fonctionne dans les deux sens dans le cas d’une attaque. Elle doit être associée à la notion d’exposition de l’entreprise au risque d’attaque. C’est donc là que se trouve l’un des rôles les plus importants pour le Risk Manager qui va travailler en association avec le CISO.
Cette vision très « stratégique » parait éloignée des considérations technologiques qui sont souvent associés au sujet de la cybersécurité pour les entreprises. Les responsables de la sécurité des systèmes d’information (RSSI) sont-ils prêts à tenir ce genre de rôle ?
Michel Juvin. Il faut bien entendu toujours comprendre ce que peuvent apporter la myriade de solutions technologiques qui existe aujourd’hui sur le marché. Toute entreprise doit savoir définir les multiples niveaux des barrières de sécurité dont la présence vous assurera d’une part de ralentir un éventuel agresseur et d’autre part de le détecter pour réagir. La vision technique fait sens pour définir où est l’information, les accès qui y conduisent, la nature et l’emplacement des « clés » qui permettent de l’atteindre.
Mais, au-delà des missions d’un RSSI, le chief information security officer (CISO) va lui avoir une interaction beaucoup plus forte en dehors du monde informatique, tournés vers les processus : juridique, RH, communication, métiers… et enfin l’organisation. Et l’entreprise va avoir besoin d’une personne qui aura la responsabilité de provoquer le changement culturel en son sein. C’est pourquoi le CISO, à l’inverse du RSSI, ne doit être dans la direction informatique ; il doit aussi pouvoir challenger le DSI dans ses choix de mise en place des solutions technologiques de protection de l’entreprise contre les risques de hacking lorsque les projets de sécurité n’avancent pas assez vite.
Cette nuance entre rôle du CISO et du RSSI est-elle vraiment visible dans la réalité du marché du recrutement français ?
Michel Juvin. C’est aujourd’hui un vrai problème. Quand un chasseur de tête recrute pour un poste dans une entreprise du CAC40 avec une centaine de filiales et un contexte compliqué… cela appelle une personne capable de fédérer tout le monde autour d’objectif commun, de mutualiser des services sur toutes les entités, à l’aide d’une bonne dose de charisme et de vision stratégique ! Si ce même chasseur de tête réduit sa recherche à un RSSI dont les missions sont celles de gérer le périmètre très précis de la sécurité technique du siège… le décalage est flagrant. Les recruteurs ont pourtant un rôle de conseil et d’éveil au risque organisationnel, et doivent challenger leurs clients dans la définition de nouvelles organisations pour leur permettre d’adresser les enjeux de sécurité. Malheureusement, ce n’est pas toujours le cas, il va falloir du temps pour abandonner ces mauvaises habitudes de recrutement.
Y-a-t-il aujourd’hui des parcours ou des formations à privilégier dans ces optiques de recrutement ?
Michel Juvin. La carrière en sécurité commence évidemment par un parcours dans l’environnement technique, avant de monter en puissance sur l’environnement fonctionnel et les processus. Le chemin vers un véritable poste de CISO est celui où l’on devient capable de traiter des problèmes de plus en plus complexes et aux interactions entre départements multiples. A l’avenir, l’intelligence artificielle changera en partie la donne, en automatisant une partie des tâches essentielles et sans doute plus techniques. Mon rêve, c’est qu’on puisse avoir un petit moteur d’intelligence artificielle, comme un assistant personnel, qui puisse brasser toutes les informations auxquelles accèdent nos multiples outils de sécurité pour en faire une synthèse. Cela permet de confronter ses idées, de corréler des évènements et des faits. J’aimerai être boosté par ce type de solution personnellement. Sortir de l’infobésité, être percutant, enlever le bruit, et pouvoir répondre avec beaucoup plus de sens au top management.
En attendant l’IA, quels autres moyens permettent d’améliorer la communication d’un CISO avec son top management ?
Michel Juvin. Quand on croise le CEO dans l’ascenseur et qu’il demande : « Alors, ça va la sécurité ? ». Comment répondre à cela aujourd’hui ? Tous les CISO doivent se préparer à ce moment de vérité. On n’a pas souvent l’occasion d’adresser un message clé à un PDG et montrer la valeur ajoutée de la fonction de CISO du même coup. C’est important d’avoir toujours une réponse prête à cette question. En fait, il faudrait avoir ce type de message pour chacune des personnes que l’on va croiser dans ce fameux ascenseur ; que ce soit le CFO ou un directeur métier. De plus, il faut comprendre rapidement si le domaine de la sécurité rend ces personnes sont paranoïaques ou peu intéressées. Dans le premier des cas, on doit les rassurer, dans le second, il faut communiquer en mettant en évidence les risques et le manque de contrôle.
Vous évoquiez le changement culturel dans les entreprises, un CISO peut-il vraiment arriver à faire bouger les lignes en la matière ?
Michel Juvin. Il faut y croire : les messages doivent être passés très régulièrement mais cela ne veut pas dire qu’ils ne sont pas entendus. Pour ma part, j’ai régulièrement communiqué autour de la protection de l’information en réservant un amphithéâtre ou une salle de réunion dans l’entreprise non seulement en France mais aussi à l’étranger, pour faire une présentation et raconter des histoires vécues. Beaucoup de collaborateurs se reconnaissent dans celles-ci et commencent alors à poser des questions, à s’interroger sur leur contexte. Pour le CISO c’est souvent l’occasion de comprendre des comportements, des situations, au sein de son groupe. Cette compréhension du réel est cruciale pour appréhender les risques en matière de protection de l’information. C’est ce qui permettra à un CISO d’anticiper, alors qu’il est vraiment regrettable d’en être réduit à surfer sur la vague d’une cyberattaque pour faire bouger les lignes et avoir du budget. Attendre une attaque un constat d’échec terrible pour la profession. Le CISO doit donc absolument former des relais sur le terrain. Il ne pourra jamais être présent partout et tout le temps. Ces ambassadeurs vont lui servir de caisse de résonnance à grande échelle dans l’entreprise. Il est alors nécessaire d’avoir des contacts directs avec eux en plus de sessions de groupe avec les employés et les rencontrer physiquement, pour échanger sur des sujets qui paraissent trop souvent intangibles. La communication est aussi une arme du CISO en interne !